이러한 개방된 클라우드 스토리지 버킷에서 몇 개의 파일이 노출되었나요?

현재 53만 5천 개가 넘는 잘못 구성된 클라우드 스토리지 버킷을 통해 196억 개의 파일이 인터넷에 공개적으로 접근 가능한 상태로 있습니다.

자격 증명 및 키 파일이 가장 위험한 유형의 노출 데이터인 이유는 무엇인가요?

이 파일에는 종종 API 키, 비밀번호, 액세스 토큰이 포함되어 있어 공격자가 정교한 해킹 없이도 보호된 시스템에 직접 인증할 수 있게 하며, 잠재적으로 데이터베이스, 클라우드 인프라, 내부 네트워크에 대한 접근 권한을 부여할 수 있습니다.

애초에 이러한 클라우드 스토리지 버킷이 왜 공개적으로 접근 가능한가요?

잘못 구성된 클라우드 스토리지 설정, 주로 기본 설정, 급하게 진행된 배포, 클라우드 보안 지식의 격차로 인해 개방된 상태로 방치되며, 책임 조직조차 자신들의 데이터가 노출된 사실을 인지하지 못할 수 있습니다.

자격 증명 외에 보고서에서 심각한 위험으로 강조된 다른 유형의 민감 데이터는 무엇인가요?

데이터베이스 덤프가 별개지만 똑같이 심각한 위험으로 언급되었으며, 여기에는 사용자 기록, 비밀번호, 개인 정보, 거래 데이터가 포함되어 있는 경우가 많습니다.

최근에 단일 구성 오류로 인한 유사한 대규모 노출 사고가 있었나요?

네, 최근 FTF Live의 잘못 구성된 분석 대시보드로 인해 2,200만 건이 넘는 화상 채팅 세션 기록이 노출되었으며, 이는 단 한 번의 감독 실수가 어떻게 방대한 양의 민감 데이터를 유출할 수 있는지 보여줍니다.

53만 5천 개의 개방된 클라우드 버킷에서 196억 개 파일 노출

Mysterium VPN의 새로운 보고서는 보안 연구원들이 수년간 경고해 온 문제에 대해 충격적인 수치를 제시했습니다. 현재 196억 개의 파일이 인터넷에 공개적으로 접근 가능한 상태로 방치되어 있으며, 53만 5천 개 이상의 잘못 구성된 클라우드 스토리지 버킷에 저장되어 있어 비밀번호, 인증, 해킹 기술 없이도 접근할 수 있습니다. 그중에는 공격자에게 실시간 시스템, 데이터베이스, 내부 인프라에 직접 접근할 수 있는 권한을 넘겨줄 수 있는 약 70만 개의 자격 증명 및 키 파일이 포함되어 있습니다.

이는 전통적인 의미의 침해 사고가 아닙니다. 누구도 취약점을 악용하거나 네트워크 트래픽을 가로챌 필요가 없었습니다. 데이터는 단순히 클라우드 스토리지 설정이 잘못되어 그대로 방치된 결과로, 열려 있을 뿐입니다.

노출 규모: 196억 개 파일, 제로 비밀번호

노출된 데이터의 어마어마한 양은 맥락을 파악하기 어렵습니다. 50만 개가 넘는 스토리지 버킷에 흩어져 있는 196억 개의 파일은 지금까지 기록된 잘못 구성된 클라우드 스토리지 버킷 노출 사례 중 가장 큰 규모 중 하나입니다. 이 버킷은 개인 개발자부터 대기업에 이르기까지 모든 규모의 조직이 애플리케이션 데이터, 백업, 로그, 민감한 기록을 저장하는 클라우드 플랫폼에 걸쳐 있습니다.

잘못 구성된 클라우드 스토리지는 새로운 문제가 아니지만, 여기서 보고된 규모는 전혀 해결되지 않은 문제임을 시사합니다. 기본 설정, 급하게 진행된 배포, 클라우드 보안 지식의 격차 등이 버킷을 공개적으로 읽을 수 있는 상태로 방치하는 원인이 됩니다. 많은 경우, 해당 조직은 자신들의 데이터가 노출된 사실조차 인지하지 못할 수 있습니다.

이는 다른 유명 사건에서 나타난 패턴을 그대로 반영합니다. FTF Live의 잘못 구성된 분석 대시보드는 최근 2,200만 건 이상의 화상 채팅 세션 기록을 공개적으로 접근 가능한 상태로 방치했는데, 이는 단 한 번의 인프라 감독 실수가 능동적인 공격 없이도 대규모 민감 데이터를 노출시킬 수 있음을 보여줍니다.

자격 증명 및 키 파일이 가장 위험한 유출인 이유

노출된 196억 개 파일 중 약 70만 개의 자격 증명 및 키 파일은 단연 가장 위험한 범주에 속합니다. 이 파일에는 API 키, 데이터베이스 비밀번호, 개인 암호화 키, SSH 자격 증명, 클라우드 제공업체 액세스 토큰이 포함되어 있는 경우가 많습니다.

공격자가 개방된 버킷에서 자격 증명 파일을 찾으면 다음으로 기술적으로 정교한 작업을 할 필요가 없습니다. 해당 자격 증명을 가져와서 보호 대상 시스템에 직접 인증할 수 있습니다. 이는 프로덕션 데이터베이스에 대한 읽기 및 쓰기 권한, 타인의 계정으로 클라우드 인프라를 가동할 수 있는 능력, 그렇지 않았다면 완전히 접근 불가능했을 내부 시스템으로의 진입을 의미할 수 있습니다.

데이터베이스 덤프는 별개이지만 똑같이 심각한 위험을 초래합니다. 이러한 파일에는 사용자 기록, 해시되거나 평문인 비밀번호, 개인 정보, 거래 데이터가 포함되어 있는 경우가 많습니다. 의료 서비스 제공업체, 금융 플랫폼 또는 전자상거래 사이트의 데이터베이스 덤프에는 공격자가 신원 도용, 계정 탈취 또는 갈취를 시도하는 데 필요한 모든 것이 담겨 있을 수 있습니다.

클라우드 구성 오류가 VPN으로 보호된 네트워크마저 우회하는 방법

이러한 유형의 노출이 갖는 다소 반직관적인 측면 중 하나는 조직이 의존하는 많은 보안 통제 수단을 우회한다는 점입니다. VPN, 방화벽, 네트워크 접근 제어는 시스템 간에 이동하는 트래픽을 보호하도록 설계되었습니다. 하지만 데이터가 퍼블릭 클라우드 버킷에 저장되어 있으면 보호된 네트워크를 전혀 통과하지 않습니다. 인터넷 연결만 있으면 누구나 접근할 수 있는 위치에 놓여 있는 것입니다.

즉, 다른 나라의 공격자가 회사 네트워크에 접근할 수 없고 방화벽을 우회할 능력이 없어도 공개 URL로 직접 이동하여 노출된 버킷의 콘텐츠를 가져올 수 있습니다. 데이터는 대부분의 조직 보안 도구가 방어하도록 설계된 경계 밖에 존재하는 셈입니다.

이것이 바로 잘못 구성된 클라우드 스토리지 버킷 노출이 위협 행위자들에게 가장 효율적인 데이터 수집 경로 중 하나가 된 이유입니다. 탐지할 공격도, 신고할 비정상 트래픽도, 조사할 침입도 없습니다. 인프라 관점에서 볼 때, 공개 버킷을 읽는 사람은 일상적인 트래픽과 동일하게 보입니다.

조직과 개인이 지금 당장 할 수 있는 일

클라우드 스토리지를 관리하는 조직에게 가장 시급한 조치는 권한 감사입니다. 모든 스토리지 버킷을 검토하여 의도적이고 문서화된 이유가 없는 한 공개 액세스로 설정되지 않았는지 확인해야 합니다. AWS, Google Cloud, Azure 등 주요 클라우드 제공업체는 과도하게 허용적인 액세스 제어가 설정된 버킷을 식별하는 도구를 모두 제공하며, 일부는 이제 모든 공개 액세스를 기본적으로 차단하는 계정 수준 설정을 제공합니다.

권한 외에도 자격 증명 위생이 매우 중요합니다. 자격 증명 및 키 파일은 어떠한 경우에도 클라우드 스토리지 버킷에 저장해서는 안 됩니다. API 키, 토큰, 자격 증명을 안전하게 처리하여 파일 스토리지에서 완전히 분리해 두기 위해 특별히 설계된 시크릿 관리 도구가 존재합니다.

개인에게 위험은 자신이 통제할 수 있는 것보다 자신의 데이터를 보유한 조직이 통제하는 것에 더 많이 달려 있습니다. 실질적인 조치는 익숙한 방법입니다. 각 계정에 고유하고 강력한 비밀번호를 사용하여 한 서비스의 자격 증명 덤프로 다른 계정을 열 수 없도록 하고, 가능한 모든 곳에서 다중 인증을 활성화하며, 계정에서 비정상적인 활동이 있는지 모니터링하는 것입니다.

Mysterium VPN의 연구 결과는 가장 심각한 데이터 보안 위험 중 일부는 정교한 공격과 전혀 관련이 없음을 상기시킵니다. 몇 달 또는 몇 년 동안 확인되지 않은 평범한 관리적 실수와 관련되어 있습니다. 클라우드 스토리지 위생을 점검하는 일은 화려한 작업은 아니지만, 이 보고서가 설명하는 규모로 볼 때 현재 조직이 수행할 수 있는 가장 중대한 보안 작업 중 하나입니다.